時間:2023-10-22 10:34:50
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇互聯網信息安全評估,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
一、互聯網金融的概述
1.互聯網金融的定義互聯網金融就是指傳統的金融結構利用互聯網技術,兩者進行有機的相互融合,在支付、投資的新興金融業務模式。大概從兩個方面來分析新興金融業務模式的改革。首先互聯網領頭人在互聯網的金融發展中不斷探索創新,使人民更好的融入其中。其次打破傳統的面對面交易模式,保證在金融交易上更加方便快捷,方便人們的生活。2.互聯網金融的發展之路互聯網金融逐漸發展成為了第三方支付、信息化金融機構等金融模式的聯合,伴隨著互聯網電子商務的飛速發展,傳統的交易模式逐漸轉變為了物流快遞的形式,網絡的虛擬化與資金流向在時間上大不相同,在交易時買家會擔心如果收不到商品怎么辦,或者商品質量出現問題誰來負責,賣家也同樣會擔心客戶收到商品之后不付款怎么辦,雙方在交易時都要承擔一定的風險,特別是在金額較大的時候風險也會隨之增加,導致網絡交易出現故障。但隨著金融的發展,金融體系的主體也會拓展,對互聯網進行了較大的改造。
二、互聯網金融信息的特征
1.影響范圍廣闊作為國家重要基礎設施的互聯網,隨著國家各個領域對互聯網的依賴程度越來越高,使其逐步成為了重要的數據傳播方式。通過大量的互聯網金融數據,能夠通過表面看出事情的本質,反映出一個國家經濟、政治等方面的現狀,是一個能夠涉及到國家金融體系的重要內容,除此之外還有可能被利用去直接影響到大眾的日常生活。但是當互聯網金融體系一旦受到范圍較大的安全事故,國家的經濟體系很有可能變成癱瘓狀態,同時也會對國家的安全問題但來不良影響。2.難以評估的風險問題如今的互聯網金融操作層面、業務層面甚至是管理層面都會涉及到IT技術,但是現代的業務風險與傳統的業務風險相比較,IT風險管理的專業性與技術性更占優勢,由于目前還無法準確的制定IT風險的計量標準,最終無法用常規的方法進行檢測與控制。例如在面對IT風險的損失衡量、風險程度等等,都沒有制定出一套較為具體的計量體系。此外IT風險還極易容易與其他風險相互交織,導致風險的評估與計量更加無法順利的進行。3.快速的擴散性在信息科技時代,網絡技術在互聯網金融當中被主要運用,擴展的速度快是網絡技術的一大特點。以往的金融業務當中,信息技術風險所帶來的損失并不是很大,但是在現如今的互聯網金融業務中,處于一個環環性扣的狀態,其中的任何一個小環節出現問題時都會使風險快速的蔓延到與其相關的系統網絡當中,使局部風險擴散開來,甚至導致整個金融市場都受到威脅。此外傳統的金融中還有一些離線的業務操作,對于偶爾出現的錯誤也有時間去更正,但現如今的互聯網金融業務都是在線操作的,一旦出現問題就是在很短的時間內爆發,糾正錯誤的機會被大大減小,加大了風險補救成本。
三、金融信息安全問題面臨的挑戰
1.落后的信息安全保障體系由于互聯網金融技術的飛速發展,為金融行業提供了一個全新的發展方向,但是相關的金融信息保障系統并沒有完善,伴隨著各種不斷涌現出的理財問題、保險問題,這對于互聯網金融業務的發展無疑是一種如履薄冰的行為。以此互聯網金融業務的發展需要強大的互聯網金融安全信息保障體系作為強大的后盾,不完善的金融信息安全一定會加大金融業務的風險問題。就現代的互聯網金融發展而言,不相融洽的金融業務與信息安全保障體系,盡管可以維持著金融業務的順利開展,但這樣的局面隨時都可能受到威脅。2.難以預防的網絡安全問題威脅金融安全的另一個問題就是難以防控的網絡安全,這一安全隱患也是互聯網安全自身存在的問題。匿名性與開放性是互聯網自身的性質,導致許多不法分子有機可乘,這也是互聯網金融信息安全所要重點注意的。想要在互聯網這個平臺上健康的發展金融行業,從根本上解決網絡安全問題,將它從一個難點問題發展到重點問題。互聯網金融安全問題不僅是一個機遇也是一個挑戰,凡事都具有兩面性。一方面互聯網金融所帶來的發展,要將壓力轉變為動力,使互聯網金融中存在的問題得到根本上的解決。另一方面威脅互聯網金融安全,會影響到互聯網金融業的發展,為國民經濟的發展做出更大的貢獻。3.快速更新的互聯網金融技術快速更新的互聯網技術應用也是金融安全信息所面臨的另一挑戰,伴隨著互聯網技術的不斷提高,越來越多以互聯網技術為基礎的發展平臺如雨后春筍般生長出來,第三方支付平臺的出現打破了傳統金融業務的機制,消費者的個人金融信息安全也受到了泄露的風險。日新月異的互聯網應用技術不僅使互聯網金融安全問題受到挑戰也使互聯網技術更加快速的發展。因此制定出相關的安全管理策略來保證其安全的運行,成為了當今互聯網金融發展的關鍵問題。
四、加強互聯網金融信息的相關對策
1.強化金融信息安全保障體系因為外界的安全問題不能從根本上消除,為了確保互聯網金融企業的健康發展,因此加強安全保障體系建設來保證金融信息安全必不可少。有了相關體系的支持才能保證互聯網金融安全的平穩運行,我國現存的金融信息安全保障體系依舊以傳統的金融信息安全問題為基礎,這顯然已經跟不上現如今的互聯網金融信息的安全需要。因此國家將強相關制度的建立,提供最高端嚴謹的技術支持,以完善當前金融信息安全保障為基礎,隨時關注互聯網金融業務的變化,最終實現金融安全問題的防范。2.對信息安全風險進行評估對計算機信息安全保護進行分等級劃分,再對互聯網金融信息進行安全風險評估。評估這一環節可以預防可能引發信息安全問題產生的風險,根據完整性與保密性存在的薄弱環節。對風險進行評估之前,為了防止計算風險值時存在誤差,可以事先采取相關的安全防范措施。在對風險評估進行一段之后,所計算的綜合值隨時都有可能發生誤差,這一因素也會隨時影響到互聯網金融中的資產。最后就是計算風險綜合值的公式,它是利用字母的代表值和之前所分析的信息安全風險所聯系,從而降低風險值的范圍。3.對網絡身份進行認證在互聯網時代當中無疑就是交易形式發生了改變,交易過程中雙方無法運用面對面方式確認是否是合法身份,但是在交易的過程中個人的信息就會被傳送,如果有不法分子居心叵測,那么信息的安全風險就會大大提升。為了保證互聯網金融信息的安全,雙方在信息交換之前能夠對真正的身份進行確認,所以交換信息的基礎與關鍵就是身份證。采用身份證實名制的策略,設置一個網絡身份證認證中心,運用集中式的方法對網絡身份證確認,并通過一些安全設置防止非法網絡用戶的登路。
五、結語
綜上所述,在互聯網金融時代的這個大背景下,金融信息中的安全問題至關重要。互聯網金融的發展必定是金融發展的趨勢,對信息安全問題也提出了許多的挑戰,因此需要多方面的相互協調發展。首先要保證金融系統的可靠性和技術手段的及時更新,其次需要國家在法律條約與相關技術方面提出有效的支持,最后需要互聯網用戶、金融機構等金融參與者學會自我約束遵紀守法。新型的互聯網金融監管與傳統的金融業相似,簡而言之就是微觀監督與宏觀調控的結合,兩者要相輔相成共同進步。由此更好的促進互聯網金融行業的健康穩定發展,更好的服務于人民。
參考文獻:
[1]顏秋霞.“互聯網+”金融信用風險體系構建的對策研究--以互聯網銀行為例[J].時代金融,2017(08).
[2]陳一鼎,喬桂明.“互聯網+金融”模式下的信息安全風險防范研究[J].蘇州大學學報(哲學社會科學版),2015(06).
為加強我省政府類互聯網站的安全管理,確保網站健康有序發展,現就加強我省政府類互聯網站安全管理工作通知如下:
一、要高度重視網站安全管理工作
各級各單位要高度重視信息安全工作,把信息安全放到至關重要的位置上,切實加強本單位互聯網站的安全管理,正確處理好安全與發展的關系,按照以發展求安全、以安全保發展的信息化建設根本要求,堅持一手抓好互聯網站的建設,一手抓好互聯網站的安全保障。一要嚴格按照“誰主管、誰負責,誰使用、誰負責”的原則,建立互聯網站安全管理工作小組,由單位分管領導任組長,并確定本單位負責互聯網站安全管理工作的主要責任部門以及部門主要責任人,逐級簽訂網絡與信息安全責任狀,將互聯網站安全管理工作分解到具體部門及具體人員。領導小組名單應報當地公安機關備案。二要嚴格網站接入管理。市、縣(區)政府類互聯網站開通前,應報設區市公安局備案,省直單位應報省公安廳公共信息網絡安全監察部門備案,并由省網絡與信息安全測評中心進行安全評估。評估合格后,方可接入互聯網。之前已經開通的政府類互聯網站,應于本通知下發后一個月內,向公安機關補辦備案手續,并向省網絡與信息安全測評中心申請開展安全評估。評估不合格不得投入使用。托管在省外的政府類互聯網站應在年底前移回省內,并在移回后一個月內,及時向公安機關備案,并向省網絡與信息安全測評中心申請開展安全評估。評估不合格不得投入使用。三要加強信息管理。由專人負責對擬上網的信息進行審核,統一信息出口,未經審核批準的信息不得上網。要指定專門人員對網站日常信息進行監控及安全技術維護。
二、要建立健全網站安全管理制度
各級各單位要將建立互聯網站安全管理制度作為本單位信息安全規范化建設的一項重要內容,依據國家相關法律法規及公安機關等信息安全主管部門的相關要求,建立健全安全管理制度。一要建立政府類網站計算機房人員出入管理登記等管理制度。二要建立操作權限管理制度,明確互聯網站安全負責人、安全管理員、系統管理員、信息員等的權限和操作范圍。三要建立操作人員密碼管理制度,定期修改管理密碼。四要建立計算機病毒防治制度,定期進行病毒檢查。用介質交換數據必須進行病毒預檢,防止病毒破壞系統和數據。要建立網絡安全漏洞檢測和系統升級管理制度,及時檢測發現漏洞,下載安裝系統補丁。五要制定網絡與信息應急處置預案,完善應急措施,有效應對各種突發事件。
三、要落實網站安全技術措施
各級各單位要根據公安部《互聯網安全保護技術措施規定》,完善互聯網站的安全技術措施。一要建立重要數據庫和系統主要設備的冗災備份措施。二要落實防范計算機病毒、網絡入侵和攻擊破壞的技術措施。三要建立防范網站、網頁被篡改以及自動恢復的技術措施。四是提供交互式欄目等服務的網站,必須具備記錄用戶注冊信息,記錄并留存的信息內容及時間。五是開辦電子郵件和網上短信服務的網站,要建立防范和清除以群發方式發送偽造、隱匿信息發送者真實標記的技術措施。
1.互聯網金融的定義
互聯網金融就是指傳統的金融結構利用互聯網技術,兩者進行有機的相互融合,在支付、投資的新興金融業務模式。大概從兩個方面來分析新興金融業務模式的改革。首先互聯網領頭人在互聯網的金融發展中不斷探索創新,使人民更好的融入其中。其次打破傳統的面對面交易模式,保證在金融交易上更加方便快捷,方便人們的生活。
2.互聯網金融的發展之路
互聯網金融逐漸發展成為了第三方支付、信息化金融機構等金融模式的聯合,伴隨著互聯網電子商務的飛速發展,傳統的交易模式逐漸轉變為了物流快遞的形式,網絡的虛擬化與資金流向在時間上大不相同,在交易時買家會擔心如果收不到商品怎么辦,或者商品質量出現問題誰來負責,賣家也同樣會擔心客戶收到商品之后不付款怎么辦,雙方在交易時都要承擔一定的風險,特別是在金額較大的時候風險也會隨之增加,導致網絡交易出現故障。但隨著金融的發展,金融體系的主體也會拓展,對互聯網進行了較大的改造。
二、互聯網金融信息的特征
1.影響范圍廣闊
作為國家重要基礎設施的互聯網,隨著國家各個領域對互聯網的依賴程度越來越高,使其逐步成為了重要的數??傳播方式。通過大量的互聯網金融數據,能夠通過表面看出事情的本質,反映出一個國家經濟、政治等方面的現狀,是一個能夠涉及到國家金融體系的重要內容,除此之外還有可能被利用去直接影響到大眾的日常生活。但是當互聯網金融體系一旦受到范圍較大的安全事故,國家的經濟體系很有可能變成癱瘓狀態,同時也會對國家的安全問題但來不良影響。
2.難以評估的風險問題
如今的互聯網金融操作層面、業務層面甚至是管理層面都會涉及到IT技術,但是現代的業務風險與傳統的業務風險相比較,IT風險管理的專業性與技術性更占優勢,由于目前還無法準確的制定IT風險的計量標準,最終無法用常規的方法進行檢測與控制。例如在面對IT風險的損失衡量、風險程度等等,都沒有制定出一套較為具體的計量體系。此外IT風險還極易容易與其他風險相互交織,導致風險的評估與計量更加無法順利的進行。
3.快速的擴散性
在信息科技時代,網絡技術在互聯網金融當中被主要運用,擴展的速度快是網絡技術的一大特點。以往的金融業務當中,信息技術風險所帶來的損失并不是很大,但是在現如今的互聯網金融業務中,處于一個環環性扣的狀態,其中的任何一個小環節出現問題時都會使風險快速的蔓延到與其相關的系統網絡當中,使局部風險擴散開來,甚至導致整個金融市場都受到威脅。此外傳統的金融中還有一些離線的業務操作,對于偶爾出現的錯誤也有時間去更正,但現如今的互聯網金融業務都是在線操作的,一旦出現問題就是在很短的時間內爆發,糾正錯誤的機會被大大減小,加大了風險補救成本。
三、金融信息安全問題面臨的挑戰
1.落后的信息安全保障體系
由于互聯網金融技術的飛速發展,為金融行業提供了一個全新的發展方向,但是相關的金融信息保障系統并沒有完善,伴隨著各種不斷涌現出的理財問題、保險問題,這對于互聯網金融業務的發展無疑是一種如履薄冰的行為。以此互聯網金融業務的發展需要強大的互聯網金融安全信息保障體系作為強大的后盾,不完善的金融信息安全一定會加大金融業務的風險問題。就現代的互聯網金融發展而言,不相融洽的金融業務與信息安全保障體系,盡管可以維持著金融業務的順利開展,但這樣的局面隨時都可能受到威脅。
2.難以預防的網絡安全問題
威脅金融安全的另一個問題就是難以防控的網絡安全,這一安全隱患也是互聯網安全自身存在的問題。匿名性與開放性是互聯網自身的性質,導致許多不法分子有機可乘,這也是互聯網金融信息安全所要重點注意的。想要在互聯網這個平臺上健康的發展金融行業,從根本上解決網絡安全問題,將它從一個難點問題發展到重點問題。互聯網金融安全問題不僅是一個機遇也是一個挑戰,凡事都具有兩面性。一方面互聯網金融所帶來的發展,要將壓力轉變為動力,使互聯網金融中存在的問題得到根本上的解決。另一方面威脅互聯網金融安全,會影響到互聯網金融業的發展,為國民經濟的發展做出更大的貢獻。
3.快速更新的互聯網金融技術
快速更新的互聯網技術應用也是金融安全信息所面臨的另一挑戰,伴隨著互聯網技術的不斷提高,越來越多以互聯網技術為基礎的發展平臺如雨后春筍般生長出來,第三方支付平臺的出現打破了傳統金融業務的機制,消費者的個人金融信息安全也受到了泄露的風險。日新月異的互聯網應用技術不僅使互聯網金融安全問題受到挑戰也使互聯網技術更加快速的發展。因此制定出相關的安全管理策略來保證其安全的運行,成為了當今互聯網金融發展的關鍵問題。
四、加強互聯網金融信息的相關對策
1.強化金融信息安全保障體系
因為外界的安全問題不能從根本上消除,為了確保互聯網金融企業的健康發展,因此加強安全保障體系建設來保證金融信息安全必不可少。有了相關體系的支持才能保證互聯網金融安全的平穩運行,我國現存的金融信息安全保障體系依舊以傳統的金融信息安全問題為基礎,這顯然已經跟不上現如今的互聯網金融信息的安全需要。因此國家將強相關制度的建立,提供最高端嚴謹的技術支持,以完善當前金融信息安全保障為基礎,隨時關注互聯網金融業務的變化,最終實現金融安全問題的防范。
2.對信息安全風險進行評估
對計算機信息安全保護進行分等級劃分,再對互聯網金融信息進行安全風險評估。評估這一環節可以預防可能引發信息安全問題產生的風險,根據完整性與保密性存在的薄弱環節。對風險進行評估之前,為了防止計算風險值時存在誤差,可以事先采取相關的安全防范措施。在對風險評估進行一段之后,所計算的?C合值隨時都有可能發生誤差,這一因素也會隨時影響到互聯網金融中的資產。最后就是計算風險綜合值的公式,它是利用字母的代表值和之前所分析的信息安全風險所聯系,從而降低風險值的范圍。
3.對網絡身份進行認證
在互聯網時代當中無疑就是交易形式發生了改變,交易過程中雙方無法運用面對面方式確認是否是合法身份,但是在交易的過程中個人的信息就會被傳送,如果有不法分子居心叵測,那么信息的安全風險就會大大提升。為了保證互聯網金融信息的安全,雙方在信息交換之前能夠對真正的身份進行確認,所以交換信息的基礎與關鍵就是身份證。采用身份證實名制的策略,設置一個網絡身份證認證中心,運用集中式的方法對網絡身份證確認,并通過一些安全設置防止非法網絡用戶的登路。
(一)境外信息安全威脅已然顯現
棱鏡門事件折射出美國通過國內高科技公司實施全球網絡空間霸權的戰略圖謀,為我國金融業敲響警鐘。是國外對中國金融信息的竊取僅次于軍事情報,我國金融業核心軟硬件多為國外企業產品,使得我國金融信息系統容易被國外掌控,為行業信息安全埋下隱患。服務外包對國外廠商依賴度較高,加大了風險控制難度,敏感信息、核心技術泄密的可能性增加。我國對外政治經濟摩擦不斷增多,金融改革持續推進,競爭進一步激烈,金融機構數據中心遭受境外黑客攻擊的可能性大大增加。例如,2013年11月29日,“中國煤炭銀行”官網被黑,其官網稱此次事件系日本金融財閥勾結國內金融集團所為。
(二)互聯網輿情威脅不容忽視
互聯網是廣大網民獲取信息資源、表達訴求最便捷和最有效的平臺。微博客、網絡社區、論壇等網絡輿論平臺飛速發展,成為社會輿論的發動機。網絡輿論與摘要:我國金融業信息化進程不斷加速,國內外信息安全環境深刻變化,金融機構須定期判斷和分析國內外信息安全形勢,不斷提高風險防范水平。本文分析了當前金融業面臨的信息安全形勢,并從完善信息安全組織機制、夯實信息安全基礎、強化互聯網風險防范等角度提出應對策略和建議。關鍵詞:金融業;信息安全;安全威脅;形勢分析;應對策略傳統媒體相互呼應,將迅速形成風險擴散的“蝴蝶效應”,放大信息安全風險。一旦金融機構局部的信息安全風險被網絡聚焦、放大,會加大風險控制與事件處置的難度。此外,一些組織或個人出于競爭、報復或利益的目的,通過互聯網關于金融機構的不實信息,營造“偽輿論”。還有一些小摩擦或小糾紛,由于沒有得到及時察覺和合理處置,引發網民圍觀,形成網絡熱點事件。這些不僅會嚴重影響金融機構聲譽,還會給整個行業帶來不良社會影響,甚至造成巨額經濟損失,實力相對較小的微型金融機構可能面臨倒閉風險。
(三)互聯網金融使信息安全形勢更趨復雜
2013年中國互聯網金融出現了快速發展勢頭,被稱為中國互聯網金融元年,各大互聯網企業巨頭紛紛進軍互聯網金融,推出“余額寶”、“微銀行”、“京寶貝”等金融產品和服務。面對激烈競爭,傳統金融機構積級調整戰略介入其中。互聯網金融為金融業帶來新的發展機遇的同時,同樣引入了信息安全風險和威脅。除具有傳統金融業經營過程中存在的流動性風險、市場風險和利率風險外,互聯網金融還存有信息技術導致的平臺風險、技術風險、系統安全風險和基于虛擬金融服務的業務風險,且風險誘因更加復雜、風險擴散傳播速度更快。移動互聯網發展和智能手機的普及使互聯網金融隨處可及,互聯網金融活動突破了時間和空間的局限,將成為網絡釣魚、黑客攻擊的新目標,金融業面臨信息安全形式更趨復雜。
二、新形勢下金融業信息安全應對策略
(一)完善信息安全工作的組織機制
組織機制是保障信息安全最基礎、最有效的長效機制,金融機構要基于當前信息安全形勢和監管部門要求,進一步完善信息安全工作的組織機制。
1.明確不同部門和崗位的信息安全職責。當前,保障信息安全已不是一個或幾個部門的責任,而是機構內所有部門、全體員工共同的職責。金融機構要明確業務部門、內控部門與技術部門共擔信息安全風險的責任,將信息安全保障納入到各崗位職責中,將信息安全工作作為一項重要的日常工作,努力形成全員參與信息安全保障的局面。
2.嚴格信息安全責任追究。按照“誰主管,誰負責;誰使用,誰負責”的原則,落實信息安全問責制,把信息安全風險的防范、識別、消除納入業績考核范疇,使所有員工意識到信息安全責任重于天。
3.提高制度的執行力。建立健全制度落實的規范流程和監督檢查機制,關注各流程、環節之間的銜接性,實現部門自控與機構內控相結合。及時發現和解決制度執行中的問題,保證制度的有效落實,維護制度的嚴肅性和權威性。
(二)夯實信息安全基礎,提升風險防范水平
信息安全工作涉及內容較多,內外部的信息安全威脅不斷發生變化,信息安全保障和風險防范不可能一蹴而就,而是一項不斷建設、持續完善的工程。金融機構應根據機構現狀和內外部安全形勢,科學制定機構信息安全發展規劃,有重點、有層次推進機構信息安全工作,不斷提升信息安全防范水平。
1.切實落實國家信息安全等級保護和信息系統分級保護工作。按照國家有關等級保護和分級保護的管理規范和技術標準開展等級保護和分級保護工作,嚴格遵照安全等級劃分標準確定機構計算機網絡和信息系統的安全等級,并按相應等級具體要求,建設安全設施、建立安全制度、落實安全責任,接受公安機關、保密部門、國家密碼工作部門對信息安全等級保護工作的監督、指導,保障信息系統安全。
2.穩步推進信息產品國產化進程。“棱鏡門”事件后,信息安全國產化進程加快,金融業要牢牢把握國產化機遇期,以安全生產為底線,按照“推廣成熟、擴大基本成熟、試點逐步成熟、攻關不成熟”的策略,穩步推進金融業信息技術國產化進程,逐步實現信息安全產品、關鍵設備、核心系統、系統等國有產品替換。加強人才隊伍建設和培養,提高自主運維能力和水平,逐漸減少對國外企業外包服務的依賴。
3.安全管理與技術防護并重。綜合使用多種安全機制,將不同安全機制的保護效果有機結合,安全管理與技術防護雙管齊下,相互配合,形成完整的立體防護體系。金融機構要摒棄“重技術,輕管理”的認識誤區,突出安全管理在信息安全保障體系中的重要性,增強技術防護體系的效率和效果,彌補當前技術不能完全解決的安全缺陷,實現最佳的保護效果。
4.完善災備體系建設和管理。災備體系是保障金融業務連續性的重要防線,是維護信息系統和網絡安全的重要措施。金融機構要把災備中心建設規劃提升到國家信息安全戰略高度予以重視,扎實做好機構災備中心布局規劃和災備建設工作。定期研究、評估當前災備中心布局,對存在的問題及時進行整改。對于核心業務系統,要實現應用級備份,保證突發事件發生時可及時恢復業務運營。確保備份數據的有效性,定期對冗余備份系統、備份介質進行深度可用性驗證。
5.加強人員操作行為管理,防范操作風險。從風險防范角度進一步完善網絡和信息系統的操作流程,加強操作流程管理和審查,實現人員操作事前能控制、事中可監控、事后有審計,使風險防范從“管住人”進一步發展到“管住行為”。善于運用技術手段加強對操作風險防控,達到從管理和技術兩個方面防范技術人員操作風險的目標,確保操作零風險。
6.提高機房設施保障水平。計算機機房是信息中心的核心部位,除承載機構的重要網絡和信息系統外,還有空調、消防、防雷等保障機房設備安全穩定運行的機房設施。要加強機房設施的監測和風險評估工作,確保UPS供配電子系統、機房空調子系統、防雷接地子系統、設備監控子系統、機柜微環境子系統、安全消防子系統等機房設施健康運轉,為機房這個“軀體”提供充足的“氧氣“和“血液”,保障作為“器官”的各信息系統正常運行。將機房設施安全放在同網絡和信息系統安全同等重要地位,發現風險隱患及時整改,勿將本應發揮安全保障功能的機房設施變成風險易發區域。
7.重視應急演練工作,提高應對突發事件的能力和水平。全面評估信息安全風險,建立風險全覆蓋的應急預案體系和應急演練常態化工作機制。根據風險的等級和影響程度,合理確定單項演練、綜合演練、跨部門演練、跨地域演練等不同類型演練的組合,具備應對不同類型風險的應急處置能力。依據風險的變化和應急演練效果完善應急預案,不斷提高應急預案的可操作性。堅持在演練中鍛煉隊伍,持續提高人員的風險意識和突發事件的響應處置能力。
(三)強化互聯網風險防控工作
1.加強互聯網輿情監測,妥善處置網絡熱點事件。完善互聯網輿情監測系統,加強人才隊伍建設,建立網絡輿情摘報和熱點專報制度,及時掌控輿情動態,盡早發現各種形式“偽輿論”,避免形成網絡熱點事件,影響正常的金融秩序。重視信息和輿論引導工作,做到未雨綢繆、預防在先。完善輿情熱點事件處置機制和流程,做到反應快速、判斷準確、處置合理,充分發揮傳統媒體與網絡媒體的協同作用,對網絡輿情進行正面引導和回應,將不利影響控制在最小范圍內。
【關鍵詞】互聯網 信息安全 控制技術
在進行互聯網的信息交流時,就要及時進行信息安全性能的檢驗,要保證信心的安全性能得到有效的計算機安全環境進行傳播。在進行信息的正確操作系統使用時,就要在隨意的任意環節進行安全檢測,對于存在安全漏洞的網站進行及時的修補清理,及時進行安全環境的檢測,以免使自己的有效信息受到威脅。在實際的操作中,一定要對互聯網的操作系統、安全協議、與安全有關的系統進行安全環境的及時檢測,其中任何方面的安全漏洞都能造成威脅到整個互聯網的安全。在互聯網的信息安全控制的技術應用發展方面,對于互聯網的繼續發展具有很大的作用。
1 互聯網的信息安全的控制技術和特征
1.1 信息安全技術之生物識別
進行互聯網的信心安全控制的重要環節就是要對生物識別技術的推廣運用,使其更加具體地運用到互聯網的實際應用之中。就現在互聯網的技術的發展狀況而言,進行互聯網安全技術識別,相比傳統的身份驗證,已經表現出了具有更加可復制性能的方面的跨越式發展。人體的生物特征復制難度最高,就像指紋、聲音、容貌、視網膜、掌紋等這種因人而異的人體的特征,別人根本實現不了復制操作。利用這種人們生而不同的人體特征作為安全技術識別的發展前景是十分可觀的,在互聯網的技術控制中,已經出現了大量使用指紋的技術進行安全保護,針對視網膜等生物特征,很多研究實驗的結果顯示,這即將成為互聯網生物識別的下一個生物特征,在進行信息安全方面,很多生物技術已經投入使用,并且取得了很好的效果。在很多方面有了很大的進步。
1.2 信息安全技術之防火墻
在進行互聯網的信息安全維護中,防火墻技術的應用十分廣泛。在進行信息安全的維護時,使用這種的網絡技術進行保護網絡和外網就能實現一道安全的屏障。就會實現私人的網絡和外部的網絡環境進行隔離時,在進行私人信息安全保護,防止信息不被竊取。在實現信息安全的檢測時,就預測的、具有潛在破壞性的網絡安全的破壞。在有著網絡漏洞的不軌信息,要及時做好網絡的安全維護問題,實現信息安全得到很好的防護。
1.3 信息安全技術之數據加密
在信息的數據加密技術時,就要進行信息的安全維護時,要先進行密碼的設置,在進行密碼層次的維護時,將不讓別人知道的數據信息技術轉變成密碼的形式。不讓別人知道的情況下對于自己密碼轉變成別人難以識別的密文,然后進行自己的信息安全維護,再進行傳輸。但是,人們在進行密碼的輸入時,就收到信息的人進行信息的安全輸入密碼轉換成自己可以識別的銘文進行信息的安全維護,從密碼的轉換成明文的情況下得到數據中的信息。
1.4 信息安全技術之入侵檢測
在進行入侵檢測技術的實施時,為了保證互聯網的系統信息的安全性,在進行信息安全性能的報告使用中,計算機使用者就會出現對于系統中出現的如未授權或者異常系統提示等情況進行及時的檢測。這種種信息安全檢測技術,能夠促進進行互聯網的系統遇到不安全入侵時,及時進行入侵信息的安全性能檢測,及時阻止不安全信息的入侵。進行檢測互聯網,中是否出現了違反信息安全的行為的一種技術。
1.5 信息安全技術之網絡安全漏洞掃描
針對系統的漏洞修補時,首先要進行檢測信息安全漏洞出現的原因,在進行系統安全維護時,一定要做好信息安全方面的風險評估。及時針對系統出現漏洞的問題,找到切實可行的解決方案。進行安全漏洞的掃描時,可以預先知道系統中,出現漏洞的根本所在,能夠及時防止網絡漏洞對信息的安全進行有效的保護。
2 實現互聯網信息安全的策略探討
2.1 互聯網安全策略之系統安全
互聯網最有效的信息安全維護,就是要對計算機的操作系統和數據庫及時進行信息安全的漏洞檢測,及時發現出現的問題找到最優的解決方案。尤其是對于計算機進行操作系統進行查缺補漏,針對計算機出現的漏洞問題一定要密切關注,找到最優的解決方案。針對容易出現問題的系統及時進行加強安全加固防護措施,尤其對于關鍵業務的服務器,一定要做到萬無一失。
2.2 互聯網安全策略之安全管理
針對互聯網的信息的安全性,一定要加強對于網絡安全的信息的安全管理策略,進行企業的信息系統安全管理策略的制定是,一定要結合具體的情況進行信息安全的合理維護。進行安全管理時,企業一定要重視對相關人員進行安全管理知識的定期培訓,及時進行網絡安全的妥善管理。當進行信息安全進行資產管理、災難管理、安全服務和站點維護的相關工作進行合理有效的管理。在技術的運用上,注意將技術適當運用到相關的部門。結合具體的管理措施進行合理有效的信息維護,保證企業互聯網的信息安全。
2.3 互聯網安全策略之縱深防御
在進行互聯網的安全合理有效地管理時,一定要將可能存在的不良操作及時進行安全性能測試,在互聯網的安全系統遭到入侵時,檢測系統就會發出信息提示,提醒進行及時的系統安全的維護措施。在信息安全系統的管理中,防火墻是其中一個最有效的安全管理手段。能夠保障系統在遇到安全威脅時,計算機系統在進行安全管理保安操作時,及時阻擋那些存在威脅的信息,按照預先的設定判斷信息的有效性,將符合規則的操作指令發出放行指令,能夠保證互聯網的信息安全。
在進行互聯網的安全管理中,一定要加強對于互聯網安全漏洞的及時檢測,確保互聯網的信息安全。在檢測過程中,若是發現了系統受到攻擊,一定要立馬采取有效措施進行系統的安全維護,及時控制企業及個人的重要信息不受破壞或者避免損失。在進行互聯網安全控制時,要考慮多方面的控制情況,為了避免遭受經濟或者其他方面的損失,就要在維護互聯網的信息安全的情況下,及時推動互聯網的發展。本文在針對各種互聯網的信息安全的管理措施的分析研究的情況下,重點強調要注意運用加密技術的使用。相信在未來的數字化科技發展中,網絡信息安全的地位將更加重要,互聯網信息安全必然隨著網絡應用的發展而不斷發展。
1我國互聯網信息安全現狀
1.1政府和行業對互聯網信息安全重視程度增加
隨著近些年來網絡信息安全問題的不斷發酵,網絡安全問題已經拓展到國家安全的角度,國家的重視度不斷增加。現在,國家網絡安全的行業進入了一個加速發展的時代,網絡安全對政治商業和經濟等利益都有較大的影響,因此,網絡安全行業的發展已經到了存量和增量大幅增加的階段。從政府方面來講,政府正在加大加國產硬件和軟件及一些安全軟件的采購力度,逐步提升企事業單位的IT基礎設施建設和網絡防御能力;從企事業單位的方面來講,我們用于信息安全的投資明顯的低于世界平均水平。現在,各類網絡安全問題的出現及一些商業機密泄露等事件敲響了企事業單位安全意識的警鐘,企事業但是開始強化數據保護和提高安全防御措施。1.2互聯網犯罪猖獗
現在網絡違法犯罪活動愈發猖獗。一些不法分子利用互聯網進行各種各樣的違法犯罪活動,如賭博、詐騙、撒播謠言、竊密盜竊等不法活動,還有通過互聯網攻擊竊取數據和機密等的犯罪活動。這些通過互聯網進行的違法犯罪不僅危害了公民的合法權益,而且破壞了國家的安全和社會的穩定。
1.3網絡安全產業有很大的發展空間
伴隨著大數據、云計算、物聯網等技術的快速應用,互聯網已經影響到我們生活的方方面面,而網絡安全產業也面臨著新的機遇和挑戰。為了保證國家的網絡安全,要不斷發展有自主知識產權的網絡安全產品。現在由于互聯網的核心的設施、技術還有比較高端的服務還是主要依賴于國外的進口,在操作系統使用、專用芯片制造和大型應用軟件開發等方面都存在著嚴重的安全的隱患。因此,具有自主知識產權的網絡安全產品和產業有非常廣闊的發展空間和發展前景。
1.4互聯網信息安全研究成為熱點
現在可穿戴設備、智能終端等設備的應用非常廣泛,信息安全問題是現在互聯網技術研究的熱點問題,隨著研究的深入進行和技術的不斷發展,會幫助解決互聯網在安全方面所遇到的問題。現在已經有很多的高校將互聯網信息安全作為專門的課程開設,這也有助于我國互聯網信息安全研究的發展。
2加強我國互聯網信息安全對策
2.1發揮政府功能,強化法規建設,建立全國范圍內的網絡安全協助機制
隨著互聯網的發展,網絡安全受到巨大的威脅,針對這種情況,要加強公民的網絡安全教育工作,盡可能提升全民的網絡安全的基礎知識和水平,增強公民的“網絡道德”意識,保護我國網絡信息的安全。而且要進一步強化網絡立法以及執法的能力,深化政府職能,完善法規建設,在全國范圍內建立網絡安全協助的機制,這樣有助于協調全國網絡的安全運行。制定出網絡在建設階段和運行階段的安全級別的定義和安全行為的細則,安全程度的考核評定等標準化文本,分析網絡出現的攻擊手段,報告系統漏洞并給出“補丁”程序,并且對全國范圍內協調網絡安全建設,另外,還要大力提高我國自主研發,生產相關的應用系統與網絡安全的能力,用以代替進口產品。
2.2加大互聯網信息安全犯罪的打擊力度
目前,互聯網技術的發展速度已經遠遠超越了網絡犯罪的立法速度,有一些立法對互聯網犯罪的處罰力度非常輕,還有一些互聯網犯罪活動并沒有相關的法律規定。這種情況對于加大網絡信息安全的打擊力度是非常不利的。因此,現在要加快對互聯網犯罪的立法工作,使得在處理互聯網犯罪的時候可以做到有法可依。近些年,國家加大了最互聯網的監督和監管力度,使得很多的互聯網犯罪活動能夠在較短的時間內得到取證和解決,但是相對而言,公民的互聯網安全意思還是比較淡薄,因此,提高公民的互聯網安全意識也成了迫在眉睫需要解決的問題。
2.3加大網絡信息安全的宣傳和教育的工作
現今社會,互聯網已經深入到生活的方方面面,互聯網正在改變著人們傳統的生活方式,人們的生活離不開互聯網。可是隨之而來的是計算機病毒、計算機犯罪、計算機黑客等問題,影響著人們對互聯網的正常和安全使用,更是影響到國家的經濟發展和安全。
因此,加大我國網絡信息安全的宣傳和教育工作是一件非常急迫的事情,通過不斷提高公民的網絡安全意識,能夠有效避免一些網絡犯罪的發生,并且對提高我國整體網絡安全有很大的幫助。要不斷的通過電視、網絡、報紙等多種媒體進行網絡安全知識的宣傳,讓網絡安全意識深入人心。
2.4建立互聯網的信息安全預警和應急保障制度
重點加強對全社會信息安全問題的統籌安排,對信息安全工作責任制要不斷深化細化;加強重點信息領域的安全保障工作,推動信息安全等工作的開展、要把安全測評、應急管理等信息安全基本制度落到實處;加快推進網絡與信息安全應急基礎平臺建設;提升信息安全綜合監管和服務水平,積極應對信息安全新情況、新問題,針對云計算、物聯網、移動互聯網、下一代互聯網等新技術、新應用開展專項研究,建立信息安全風險評估和應對機制;建立統一的網絡信任體系、信息安全測評認證平臺、電子政務災難備份中心等基礎設施等,力求對信息安全保障工作形成更強的基礎支撐。
2.5技術防護安全策略
技術防護是確保網站信息安全的有力措施,在技術防護上,主要做好以下幾方面工作:一是要加強網絡環境安全;二是加強網站平臺安全管理;三是加強網站代碼安全;四是加強數據安全。
3結語
網絡安全技術已經成為影響互聯網發展速度的一個重要課題,通過對其深入的研究,制定出合適的策略方法并加以實施,達到提升互聯網安全的目的。
參考文獻
[1]林凌.網絡涉及隱私信息傳播的法律規定[J].編輯學刊,2015(1).
關鍵詞:互聯網保險;問題;對策
20世紀90年代以來,網絡技術的快速發展和逐步完備的電子商務平臺給保險業的發展帶來了巨大沖擊,作為一種以網絡信息平臺為載體的新型商業模式,互聯網保險通過互聯網平臺為客戶提供保險產品和服務,實現部分業務或全部流程的網絡化,為保險業發展帶來新的機遇和挑戰。以“互聯網+”為代表的信息化使人們的生活變得更加便捷,互聯網成為保險業發展的加速器。
互聯網保險的發展對傳統保險業是一個極大地挑戰,因為互聯網保險所具有的全天隨時隨地服務的天然優勢不僅真正實現了人人平等享有網絡優質服務的理念,讓人們自由、平等、便捷地享受金融服務,還可以通過互聯網,免去保險營銷人員等中介環節,縮短保險業務整體流程的時間,提高營銷、服務、售后的效率。所以,保險業如何在網絡化、信息化的背景下,融入互聯網金融的潮流,成為近年來保險行業和學術界重點關注的課題。
一、我國互聯網保險存在的問題
1.互聯網保險相關法律法規缺失
雖然近年來,國家開始關注互聯網保險,并且也出臺了一些相關規章制度,但總體來說,互聯網保險相關法律法規依然缺失,目前能對互聯網保險營運進行約束與規范的主要法律依據依然是1995年頒布的《保險法》,然而,這部法律所調整的行為主要是傳統的保險業務,而互聯網保險業務卻有著無形的經濟保障合同的特性,這使得目前的互聯網保險活動并不能真正得到法律法規的調整和規范,如在互聯網保險業務中關于電子保單的法律效力、時效等問題仍無具體法律做出明確的司法解釋,不利于互聯網保險業務的規范健康發展。
2.互聯網保險業務中信息不對稱容易導致道德風險
互聯網保險是借助信息網絡技術進行營銷和管理,保險公司和消費者之間不能通過面對面溝通,保險公司不能通過直接接觸和觀察去了解投保人的風險情況,投保人也缺少了保險營銷人員這一了解產品及公司信息的渠道,信息的不對稱必然容易產生道德風險。
當前我國還沒有建立起信息共享的個人信用體系,保險公司在不充分了解消費者信用狀況的情況下,僅通過網絡平臺的篩選和辨別,無法真正識別客戶所提交資料的真偽。一般來說,投保人在提交審查材料時會提交有利于自己的資料和信息,剔除隱瞞不利于自己順利投保或有可能增加保費金額的信息,以便實現以更優惠的價格來獲得更大的保險權益,這使得保險公司的風險大增。雖然目前的技術水平下,保險公司對于客戶風險級別的評估不能十分準確,但部分互聯網保險公司為了拓展業務,依然會在信息不完備的情況下對客戶進行承保,某些輕率承保的行為必然會給互聯網保險業務增加一定的風險,當然最終也會損害消費者權益。
3.互聯網保險產品缺乏創新,導致結構單一、同質化現象突出
我國互聯網保險的業務模式多是在傳統銷售渠道基礎上增加了一項互聯網業務渠道而已,并沒有真正改變現有的核心運營模式,更沒有設計出個性化、創新的、適合互聯網銷售的保險產品品種。從目前的實踐來看,我國互聯網保險產品多同質化,各大實行互聯網營銷的保險公司的業務基本都集中于交通工具意外險、旅游意外險、簡單的壽險、理財類保險等方面,缺乏契合互聯網用戶消費需求和習慣的個性化產品,缺乏新意的產品自然就沒有競爭力。從互聯網保險未來的發展來看肯定是弊大于利。
4互聯網信息安全技術不成熟,信息安全隱患大
雖然互聯網保險機構一直以來都非常注重保護客戶的信息安全,但由于保險公司擁有大量完備的個人和企業信息,因此常被不法分子覬覦。由于互聯網的開放性特征,加之各保險公司對網絡信息安全技術方面的投入力度各異,致使我國的互聯網保險在網絡技術安全和信息隱私方面非常薄弱,互聯網保險業務存在著較大的安全風險,為某些商業機構利用不正當手段篡改或竊取網絡保險數據資料提供了可乘之機,使得互聯網保險客戶的信息資料安全遭受嚴重的威脅。除此之外,隨著互聯網保險業務對大數據信息的依賴,互聯網信息的商業價值也越來越高,不可避免地會出現保險公司內部的少數職員竊取客戶的個人資料并泄露出去的情況,做出有損商業道德的事情。而目前我國針對互聯網保險的網絡信息安全由于缺失有效的監管手段和監管法規,導致互聯網保險在開展業務過程中網絡風險和市場風險頻發。要想促進我國互聯網保險能在一個安全的環境中積極健康發展,有必要加強互聯網信息安全建設,保障互聯網保險發展中的信息安全。
二、進一步發展我國互聯網保U的對策建議
針對我國互聯網保險行業存在的問題,本文從以下方面提出針對性的建議,以促進我國互聯網保險行業的健康有序發展。
1.建立健全互聯網相關法律法規,保障其健康運營
基于信息技術支持的互聯網保險新模式,其將互聯網線上保險和傳統的線下保險業務相結合,在運作中必然需要監管和法律法規的到位,才能有效解決保險業運作過程中常見的網絡安全問題和索賠欺詐問題。因此,一方面,加快完善互聯網保險發展業務的法律法規。由于互聯網保險的迅猛發展,傳統保險業的相關法律與具有網絡虛擬性的互聯網保險并不十分匹配,要想更好的提供給互聯網保險業發展的法制環境,必須盡快完備同時適用傳統保險業務和互聯網保險的相關法律法規。另一方面,加強網絡平臺、信息安全相關法律制度的建設和完善,實現互聯網保險平臺上電子合同、投保、支付、理賠等有法可依,實現互聯網保險監管和營運的可持續健康發展。
2.完善保險行業信用體系建設,降低互聯網保險道德風險
保險產品的價格水平與其風險級別相關,而保險行業的盈利水平也基于風險評估。客戶的征信記錄和風險測評結果對保險公司針對保戶制定價格具有決定性意義。因此,完善保險行業信用體系建設,健全而精確的征信信息、權威評級機構的風險測評對于互聯網保險業務的開展和運行尤為重要。一方面,積極引導市場對信用產品的需求,培育信用市場主體。利用政府的影響力和權威性,建立適應市場需求的風險評估機構和征信評定機構,并為其保駕護航,引導其良性發展。同時,政府應鼓勵和要求媒體對征信系統進行有效宣傳,在整個社會中營造良好信用環境,讓誠信深入人心,內化為人們日常行為的一部分。另一方面,建立健全失信懲罰措施,搭建系統的、可共享的公共信息服務平臺。通過與醫療機構、社保機構、交通部門、銀行、電子商務等的合作,實現征信信息共享,把信用信息充分滲透到經濟生活的各個角落。同時要加大對失信行為的懲罰力度,提高失信成本,提高人們的征信意識。而互聯網保險公司則可以借助信息公眾平臺獲取權威數據資料,從而提高工作效率,降低風險。
3.重視互聯網保險產品創新,豐富產品體系,優化產品結構
大數據時代的到來,信息技術的普及,與網絡有千絲萬縷聯系的單個個體的行為、特征以及相關數據資料都被計算機進行有效的整合、分析、記錄,這也是保險行業基于精準大數據為保戶量身定做個性化保險產品的前提。首先,通過設計標準化的保險產品打開互聯網保險市場。設計標準化產品通過互聯網營銷的模式已在國外較為普遍。我國現階段的互聯網保險營銷可以通過設計適于推廣的個險產品來打開互聯網渠道,因標準化的個險產品和保險理財產品,保單標準化程度較高,且保費較為低廉,保險條款一般便于保戶理解,保單核保手續簡便,有些保單甚至能夠實現網絡自動核保,如此線上推廣與傳統線下推廣并無矛盾之處,比較適宜網上銷售。其次,當互聯網保險發展到一定程度之后,標準化的產品設計就不能完全滿足互聯網保險的需求。要想真正推進互聯網保險的快速發展,就要對互聯網用戶進行調查研究,分析市場優劣,分析競爭對手產品,分析客戶需求,并根據客戶需要設計出個性化的保險產品,提供個性化的保險服務,只有這樣,才能在激烈競爭的保險市場占領先機。但需要注意的一個問題是,保險本身是為了保障風險損失,而不是保障投機行為,所以,契合互聯網的新產品設計首要條件是滿足保障風險。第三,互聯網保險機構可借鑒企業自身積累的大數據,利用嚴格的精算系統,分析消費者對保險產品的潛在需求,結合市場需求,創新產品,優化產品結構。可以通過對較為復雜的保險產品根據客戶的個體差異以及具體保障對象的不同進行分拆,提供差異化的產品,簡化客戶網上選擇、投保、索賠流程,提供客戶體驗,使客戶可以根據自身實際情況進行選擇,形成互聯網銷售的獨特優勢。此外,互聯網保險公司還應積極利用微信、淘寶等新媒體、電商平臺,基于大數據分析推出開發出符合客戶需求的新產品。最后,營造互聯網保險的品牌效應。在我,利用互聯網來購買保險的客戶多多集中在25歲到45歲,他們不僅對產品要求高,對保險公司的品牌也會有很高的要求。客戶在進行互聯網消費時對保險公司的是否了解和信任極為重要。營造互聯網保險的品牌效應就顯得意義非凡,如果能夠建設和推廣互聯網保險電子商務平臺、樹立自己的品牌,并能在平臺上讓優質購買力客戶體驗到品質和便利,必然能吸引大量的客戶參與其中。
關鍵詞: 云計算;信息安全;網絡
引言
隨著科技的飛速發展,互聯網快速發展,已經成為人們工作生活中不可或缺的一部分。互聯網計算服務模式已經不能滿足計算機存儲、數據空間匱乏等帶來的一系列的問題,云計算(Cloud Computing)應運而生。眾多計算機節點結合起來,互聯網用戶在“云端”實現業務辦理,云計算帶來利好的同時,也存在用戶信息安全的問題。2009年初,亞馬遜的云存儲S3連續4小時出現故障;時隔一個月,谷歌聲稱由于疏忽泄露了客戶的信息;微軟公司也承認了其云計算平臺有運行中斷的現象出現。如何在“云端”便利的實現用戶的數據與處理,便于用戶高效實用共享資源的同時,保證用戶信息的安全與隱私,云計算信息的安全性和可靠性是云計算環境下值得探討的重要問題。
云計算概述
云計算概念及體系架構
云計算是上世紀九十年代由IBM首先提出的,開始僅限于超級計算機,隨著網絡技術的發展,云計算應用面得到廣泛擴展。云計算是一種基于互聯網的計算方式,可以方便的按需訪問網絡、存儲設備、應用程序等。云計算是在分布式處理、并行處理和網絡計算發展的基礎上出現的一種新型的計算模型[1],在分布式環境下,提供數據和網絡服務。用戶可以在任意計算機終端將數據資源交由網絡處理并儲存,不需占用用戶自己的硬件資源,在需要時可以隨意訪問存儲系統并得到相關數據。狹義的講,云計算是指IT基礎設施通過網絡按需獲得資源的交付和使用模式;廣義的講,通過網絡按需獲取服務的交付和使用模式。簡單來說,云計算就是把客戶的所有數據交由網絡處理,設置企業數據中心對客戶的數據進行處理,通過一個數據中心向客戶提供服務,客戶可以使用不同的終端進行操作,云計算為客戶節省大量硬件資源。
云計算體系分為三個層,管理層、應用層和訪問層。管理層解決資源共享問題,應用層實現以何種方式提供服務給外層設備,訪問層即為云計算的核心層,用來解決實際的云計算問題。
云計算的特點
按需自助服務:用戶自主訪問云資源;
寬帶接入:云計算的功能實現需要網絡支持;
虛擬化資源:通過虛擬技術對云服務的軟硬件資源進行劃分,提供共享使用形式,并對各用戶 占用的虛擬資源進行分配和花粉;
快速彈性架構:快速、彈性的將資源提供給用戶;
可測量服務:對用戶使用云端資源的情況進行測量并計價。
云計算的這些特點能夠解決計算機存儲、數據空間匱乏等問題,但同時也對云計算的安全性產生威脅。
1.3 云計算的應用形式
云計算的應用形式包括軟件服務(SaaS)、平臺即服務(PaaS)和基礎設施服務(IaaS)。SaaS需用戶結合自身特點向互聯網商戶自行訂購服務模式,互聯網商戶制定統一的軟件運行形式和硬件設施,該形式下用戶使用便捷。PaaS通過提供具有開發環境的分布式平臺,使用戶自己參與到開發中來,量身定制適用于自己的應用程序,并通過互聯網傳遞給其他客戶。IaaS應用模式的云端設備由多臺服務器組成,提供給客戶計量服務,將存儲、內存、I/O等資源整合后提供給商戶。
云計算環境下的信息安全隱患
云計算需要依托網絡平臺實現其功能,網絡安全也直接影響到云計算環境下的信息安全,雖然網絡安全技術不斷提升,但泄密事件、數據丟失、訪問權限被控等問題經常影響用戶的正常使用,也制約了云計算的普及。
云計算環境下,信息安全隱患主要包括以下幾點:
數據丟失。云計算平臺發生崩潰,導致用戶數據丟失。
隱私泄露。用戶存儲的數據以及數據處理由服務器網絡和數據庫系統統一進行計算,不可避免的存在用戶數據被竊取和破壞的情況。
密碼易被破解。云計算的計算能力強大,可縮短密碼破解時間,如有非法用戶對密碼進行破解,用戶的信息安全性面臨威脅。
管理員接入具有潛在威脅。在安全場所以外的地方處理信息,如果沒有對管理員進行充分了解和驗證管理員信息,可能對信息安全存在潛在的威脅。
數據隔離導致數據失效。在云計算環境中,用戶數據處于資源共享環境下,一定的加密設置可以規避風險,云計算提供商將數據區分隔離開來進行管理,并針對用戶設計加密服務,如果加密系統出現問題,那么用戶所有數據將失效,不能再使用。
安全區域劃分無效。在云計算中,傳統的安全域可以清晰定義邊界,保護用戶數據,但在云計算中無法實現。
用戶數量分類各異,用戶具有變化、動態和移動的特點。
服務安全問題。云計算提供商控制所有數據、服務以及網絡,一旦提供商出現安全問題,將直接影響用戶的利益。
數據的安全性。包括數據存放位置、數據隔離、數據恢復、數據加密等。
綜上,這些都對云計算的安全運行造成威脅,給用戶的信息安全帶來隱患。
云計算環境下的信息安全解決方案
云計算安全事件的頻繁發生,使云計算的安全性、穩定性得到質疑,對云計算環境下的信息安全進行防護,使云計算健康有序的發展,提出信息安全解決方案,制定相關的信息安全策略勢在必行。
3.1 要正確認識云計算,積極發展云計算技術來確保信息安全
3.1.1正確認識云計算
計算機技術、互聯網技術發展迅猛,催生云計算的產生,云計算提供商不應急于求成,過分夸大其功能,迷惑用戶,提供商應正確看待云計算的推廣和應用,用戶也不能盲目使用。云計算要以互聯網為基礎,網絡安全直接威脅云端信息的安全,影響云計算的安全使用,只有通過不斷提高計算機技術,提高網絡安全,才能保證云計算環境下的信息安全。云計算提供商應具有可靠性,提供商不能單純的把盈利放在首位,應將用戶的利益置于制高點,對用戶作出有效的保證,盡最大化的保證云端信息的透明化。保證云計算的連續性。信息處理的重要問題就是具有連續性,保證用戶的信息存取。在云計算環境下,大量信息集中在云端,在實際運行中,保證提供商硬件設施安全運行,在出現故障、硬件設備損壞或斷電的情況下,保證云端信息的安全和正常存取。
3.1.2 積極發展云計算技術
1)云計算具有多個安全域,單個安全域應具備全局、局部主題映射,不同安全域可相互鑒別。
2)滿足用戶動態需求,提供商建立良好的登錄、等的認證。
3)通過SSL、VPN等安全方式確保通信安全,并保證用戶連接。
4)云計算提供商、用戶以及之間的授權方式應規范化。
5)云計算提供商保證數據的機密性和完整性。
6)邊界安全。云計算環境下,硬件設備為虛擬化導致傳統意義上的網絡邊界不復存在,傳統的網絡邊界防護不能生搬硬套在云計算環境中。為加強網絡邊界安全,積極提供虛擬環境下防火墻技術升級,虛擬后的防火墻與原有的防火墻一樣,根據不同的業務需求,采取不同的安全防護策略。
7)數據傳輸安全。云計算數據傳輸包括用戶與云端之間、云端內部的數據傳輸,為保證傳輸安全,一般采用技術手段進行傳輸加密。
8)數據存儲安全。數據存儲安全性保證也是采取加密方式。云計算環境下,有兩種加密方式,一種為對象存儲加密,即將對象存儲系統設置為加密狀態,用戶自行設置秘鑰;一種為卷標存儲加密,卷標加密又分為實際物理卷標加密和特殊設備加密。特殊設備是一種虛擬設備,以串行方式實現計算實例與物理存儲之間的數據加密。
9)云服務器安全。云服務器需安裝防病毒系統、補丁系統以及云安全操作系統。防病毒系統提供更好的病毒查殺能力,完成病毒查殺防護的任務。補丁系統及時對系統進行更新。國外一些云計算提供商如Google、Microsoft和Amazon已經推出了自己的云安全操作系統,該系統設置了身份認證、訪問控制、行為審查等多方面的安全機制。
3.2 云計算提供商強強合作,建立統一平臺
各個云計算提供商之間是競爭的關系,信息高度發達的今天,緊靠幾個提供商運營完成信息處理顯然是很難的,相互獨立發展不利于云端信息的有效利用,造成資源浪費。云計算需要更廣闊的平臺,以平臺為基礎,各云端信息相互連通,形成整體,使信息交流更高效,使、云計算的優勢得到充分發揮。也可以在國際范圍內家強共識,形成更大的平臺,以實現信息的交流和處理,使云計算應用范圍更廣泛,為用戶提供更好云端的服務。
3.3 建全法律法規,有法可依
云計算屬于我國IT行業的基礎設施,其建設的具有重要性,應有相關的立法來保證期順暢實施。制定相關的法律法規捍衛云計算、網絡信息安全。對于用戶而言,訪問云端的訪問權限應有嚴格的法律法規來約束限定。對于提供商而言,運營商應盡可能規避風險,保證信息安全。在用戶和運營商之間發生矛盾時,有相關的法律條款對其進行處理,使用戶愿意使用更安全更便捷的方式處理信息。建立第三方監管審查機制,平衡提供商和用戶之間的權利、利益平衡。
3.4 建立云計算信息安全評估體系
云計算的信息安全風險存在于云計算信息的整個周期中,隨時可能發生。信息安全評估體系的建立,可以依據相關的信息安全技術和管理標準,對信息的整個系統、存儲狀態和傳輸處理過程, 進行安全評價,保證其機密性、可用性和完整性。通過對評估資存在的潛在威脅和安全事件所涉及的資產價值,來預測危險的存在,化解安全風險,保護云計算網絡和信息安全。
信息安全評估體系可按階段進行,準備階段確定評估目標和范圍,進行調研和研究;要素識別階段,明確資產的風險程度,威脅的強弱程度;分析階段制定相應的風險等級,確定風險;驗收階段,對整個評估進行總結和驗收。
結論
云計算是近年來的研究熱點,本文分析了云計算環境下的信息系統存在的安全隱患,著重探討了其信息安全的解決方案,隨著計算機和互聯網技術的進一步發展,云計算的應用前景更加廣闊,云計算環境下的信息安全問題也是值得長期探索的技術關鍵。
[參考文獻] (References)
[1] John Rit t inghous e, Jam es Ransome. Cl oud Comput ing: Impl ement at ion, Managem ent , and Securit y[ M] . Boca. R at on. FL.USA: 2009 March.
[2]馮登國,張敏,張妍,徐震. 云計算安全研究[J]. 軟件學報,2010(11) : 34-39.
[3] CSA. Security Guidance for Critical Areas of Focus in CloudComputing V2.1[EB/OL].[2010-05-10].http: / / /guidance /.
